自宅Debian7 (wheezy)サーバーのapache2にクイックSSLプレミアム証明書設置-サーバー準備編

2014/09/24[公開] 2020/02/07[最終更新]

スポンサー リンク

Debian+Apache2でSSLサイトが使える設定

クイックSSLプレミアム購入アクティベート済み、apacheのインストールができており、すでにWordpress運用中の前提です。

ジオトラスト社のインストール手順を元に、Debian+Apache2の手順です。

ファイルを3つ作成して、sites-availableの設定をするのが主な作業です。

(ファイル1)証明書ファイルを作成

ジオトラスト社からアクティベーション後に届く証明書発行メールの本文の最後に記載されている下記の赤部分をコピーする。

—–BEGIN CERTIFICATE—– AQ8AMIIBCgKCAQEAsnzO9ehFhF/uUoLZo5fjTtFXCHL9n5Pux+UMCr8a rT8hi3KbK/AxdsrzMjRAL+fkj/DqHolE1olgnOabW3A/2U29dvqpnhjcn0N 7gauMhEq3mJS0iUSUpWUf/FaBghoZvvGmjnkdXdyabYcvu4HqTW3+

省略                           ※赤い部分だけをコピー

KtEGQE1Vv3TNWEPZCM40qKcuLKbncD9O7mDayI8RiSOC/3UFlnlnW4XX Kmvcjrg5YPHpNMS1ooeTshn+C9gbID+ch9jqUHLXRs6nmZFpnj7rG0HfL 5swREKpHNKPkF38rMKb9FtCMf9jCE2i9SeBleGNTteX6ltDTtIcC8LWbeFm

—–END CERTIFICATE—–

INTERMEDIATE CA:  —————————————

—–BEGIN CERTIFICATE—–

MIID+jCCAuKgAwIBAgIDAjbSMA0GCSqGSIb3DQEBBQUAMEIxCzA MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMRswGQYDVQQDExJ YWwgQ0EwHhcNMTAwMjI2MjEzMjMxWhcNMjAwMjI1MjEzMjMxWjB

省略

lvD16lo8nBa9AlPwKg5BbuvvnvdwNs2AKnbIh+PrI7OWLOYdlF8cpOLN YWE5XIlMSB1CyWee0r9Y9/k3MbBn3Y0mNhp4GgkZPJMHcCrhfCn13m vTezMGnGkqX2Gdgd+DYSuUuVlZzQzmwwpxb79k1ktl8qFJymyFWOIPllB

—–END CERTIFICATE—–

コピー部分は、ジオトラスト社の会員サポートページからでも確認できます。

コピーした中身を張り付けて証明書ファイルを作成します。

証明書ファイルを(例:newcert.pem)で新規作成

nano /etc/ssl/certs/newcert.pem

コピーした内容をペーストしたら「Ctrl+X」→Y で保存新規保存します。

(ファイル2)秘密鍵ファイルを作成

CSR作成する際に使った秘密鍵ファイルをそのままコピーして使います。

cp /etc/apache2/ssl/2014key.pem /etc/ssl/private/newkey.pem

パーミッションを同フォルダ内ファイルと同じ設定に変更

chmod 640 /etc/ssl/private/newkey.pem

(ファイル3)中間証明書ファイルを作成

コチラからクイックSSLプレミアム用の3階層目の証明書部分を先にコピぺ、その下に2階層目の証明書部分をコピペして中間証明書を作成します。

中間証明書ファイルをファイル名(例:inca.pem)で新規保存

nano /etc/ssl/certs/inca.pem

コピペしたら「Ctrl+X」→Y→Enter で保存

sites-availableの設定

Debianの場合sites-abailableフォルダの中にSSL用のdefault-sslファイルが用意されているので、チョコチョコと変更して利用します。

nano /etc/apache2/sites-available/default-ssl
<IfModule mod_ssl.c>
<VirtualHost _default_:443>

ServerAdmin webmaster@localhost
ServerName www.example.com ←行追加
DocumentRoot /var/www
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride ALL  ←変更
Order allow,deny
allow from all
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory “/usr/lib/cgi-bin”>
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
省略
# A self-signed (snakeoil) certificate can be created by installing
# the ssl-cert package. See
# /usr/share/doc/apache2.2-common/README.Debian.gz for more info.
# If both key and certificate are stored in the same file, only the
# SSLCertificateFile directive is needed.
SSLCertificateFile /etc/ssl/certs/newcert.pem ←証明書ファイル
SSLCertificateKeyFile /etc/ssl/private/newkey.pem ←秘密鍵ファイル
# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt
# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCACertificatePath /etc/ssl/certs/
SSLCACertificateFile /etc/ssl/certs/inca.pem ←中間証明書ファイル
# Certificate Revocation Lists (CRL):
省略

編集が終わったら、「Ctrl+X」→Y→Enter で保存します。

apache2を再起動します。

/etc/init.d/apache2 restart

a2ensiteでdefalt-sslを有効にします。

a2ensite default-ssl

ポート443のファイアウォール設定

ファイアウォールのiptablesでポート443が開いているか確認

iptables -L

設定変更が必要な場合は、iptablesの設定方法をご覧ください。

a2enmod ssl

Debianではports.confファイルや、sites-availableのdefault-sslなどの記述が、sslのモジュールが動いていたらport443をListenする設定になっているようです。

最後に、このコマンドを入力します。

a2enmod ssl

apacheをリスタートしろとのメッセージが出ます。

/etc/init.d/apache2 restart
[….] Restarting web server: apache2 … waiting Apache/2.2.22 mod_ssl/2.2.22 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order to read them you have to provide the pass phrases. Server www.example.com:443 (RSA) Enter pass phrase:

パスフレーズを入れろとメッセージ、秘密鍵を作ったパスフレーズです。

入力したら

OK: Pass Phrase Dialog successful.. ok

これで「https://~」と入れて表示を確認しましょう。

ジオトラストのサイトで証明書が動いているか確認できるサイト(コチラ)もあります。

表示されたら苦労した分、感慨もひとしおですね。

あとは、Wordpressの設定を変えて、証明書シールを設置しますが、この投稿での作業はここまでで完了です。

最後に

証明書ファイル、秘密鍵ファイル、中間証明書ファイルはサーバー外に大切に保存しておきます。

スポンサー リンク

サーバー再構築するときに活躍するでしょう。

また、再起動時に証明書のパスフレーズの入力を毎回求められます。

このままでは、SSHで再起動とかかけられないので、回避方法があるみたいです。

コチラもご覧ください。

自宅Debian(wheezy)サーバーで起動時にSSL秘密鍵のパスフレーズを自動入力させる方法

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です